Вымогатель STOP — один из самых активных шифровальщиков на сегодня, но о нем почти не говорят

Издание Bleeping Computer обратило внимание на вымогателя STOP, который по данным сервиса ID Ransomware, созданного известным ИБ-экспертом Майклом Гиллеспи, является одной из наиболее активных угроз в текущем году, наряду с Ryuk, GandCrab и Sodinkibi.

Распространенность STOP подтверждает и крайне активная ветка форума Bleeping Computer, где пострадавшие ищут помощи. Однако об этом шифровальщике почти не говорят и не пишут. Дело в том, что эта малварь атакует в основном любителей пиратского контента, посетителей подозрительных сайтов и распространяется в составе рекламных бандлов.

Сообщается, что ID Ransomware получает примерно 2500 сообщений об атаках вымогателей в день. И примерно 60-70% из них — это сообщения об атаках шифровальщика STOP, что оставляет другие вымогатели далеко позади.

Для распространения STOP используются в основном рекламные бандлы и подозрительные сайты. Эти ресурсы рекламируют фейковые кряки и активаторы (например, для KMSPico, Cubase, Photoshop или антивирусов) и бесплатное ПО, которое на самом деле представляет собой рекламные бандлы, устанавливающие различные нежелательные программы и малварь на машины пользователей. Одним из таких вредоносов является STOP. Также в таких бандлах встречается, к примеру, троян Azorult.

Гиллеспи и специалисты Bleeping Computer отмечают, что сам шифровальщик действует по классической схеме: шифрует файлы, добавляет им новое расширение и помещает на зараженной машине записку с требованием выкупа (малварь требует 490 долларов, но сумма удваивается через 72 часа до 980 долларов). Однако на сегодняшний день существует более 159 вариантов STOP, о которых известно исследователям, и такое разнообразие существенно усложняет ситуацию.

Так, Гиллеспи добился определенных успехов, помогая жертвам шифровальщика восстанавливать файлы, и создал инструмент STOPDecryptor, который включает в себя автономные ключи дешифрования, используемые вымогателем, когда тот не может связаться с управляющим сервером. Также специалист сумел помочь ряду пользователей, чьи машины были зашифрованы с использованием уникальных ключей.

Однако помощь жертвам оказалась трудной задачей: порой авторы вымогателя выпускали по 3-4 версии в день, и тысячи людей нуждались в помощи одновременно. К тому же, в итоге шифрование STOP изменилось, и Гиллеспи больше не может предлагать помощь всем пострадавшим.

В результате ветка помощи на форуме Bleeping Computer уже насчитывает более 500 страниц, а отчаявшиеся пользователи регулярно просят Гиллеспи о помощи в социальных сетях. Так, практически любой твит исследователя моментально обрастает ответами с мольбами о помощи в дешифровке файлов после атаки STOP.

Фото: Bryce Durbin / TechCrunch

Мария Нефёдова: Блондинка, гик, книжный червь, синефил. Редактор ленты новостей; иногда автор Сцены.

Комментарии (1)